BIND DNS serverinin stabil filialları, 9.11.28 və 9.16.12, eləcə də hazırda inkişafda olan eksperimental 9.17.10 filialı üçün düzəldici yeniləmələr buraxılmışdır. Bu yeni buraxılışlar potensial olaraq uzaqdan kodun icrasına səbəb ola biləcək bufer daşması zəifliyini (CVE-2020-8625) düzəldir. Hələ heç bir işlək istismar müəyyən edilməyib.
Problem, müştəri tərəfindən istifadə edilən protokolları danışıqlar yolu ilə əldə etmək üçün GSSAPI-də istifadə edilən SPNEGO (Sadə və Qorunan GSSAPI Danışıq Mexanizmi) mexanizminin tətbiqində baş verən xətadan qaynaqlanır. server Təhlükəsizlik metodları. GSSAPI, dinamik DNS zonası yeniləmələrinin həqiqiliyini yoxlamaq prosesində istifadə olunan GSS-TSIG genişləndirməsindən istifadə edərək təhlükəsiz açar mübadiləsi üçün yüksək səviyyəli protokol kimi istifadə olunur.
Bu zəiflik GSS-TSIG aktivləşdirilmiş sistemlərə təsir göstərir (məsələn, tkey-gssapi-keytab və tkey-gssapi-credential parametrləri istifadə olunursa). GSS-TSIG adətən BIND-in kontrollerlərlə birləşdirildiyi qarışıq mühitlərdə istifadə olunur. domen Active Directory və ya Samba ilə inteqrasiya zamanı. Varsayılan konfiqurasiyada GSS-TSIG deaktivdir.
В качестве обходного пути блокирования проблемы, не требующего отключения GSS-TSIG, называется сборка BIND без поддержки механизма SPNEGO, который можно отключить через указание при запуске скрипта «configure» опции «—disable-isc-spnego». В дистрибутивах проблема пока остаётся неисправленной. Проследить за появлением обновлений можно на следующих страницах: Debian, RHEL, SUSE, Ubuntu, Fedora, Arch Linux, FreeBSD, NetBSD.
Mənbə: opennet.ru
